Google Analytics est-il encore légal en Suisse ? Alternatives conformes nLPD

Depuis l'entrée en vigueur de la nLPD le 1er septembre 2023, une question revient régulièrement dans les discussions entre responsables de PME suisses et juristes en protection des données : Google Analytics est-il encore utilisable légalement ? La réponse courte est : oui, mais sous conditions strictes que la grande majorité des sites ne respectent pas. Cet article fait le point sur le cadre légal suisse, les exigences concrètes pour une utilisation conforme, et les alternatives qui simplifient radicalement la situation.

Statut légal de Google Analytics sous la nLPD

Google Analytics n'est pas interdit par la législation suisse. Contrairement à certaines autorités européennes comme la CNIL française ou l'autorité autrichienne (DSB), le Préposé fédéral à la protection des données et à la transparence (PFPDT) n'a pas publié de décision d'interdiction formelle de Google Analytics à ce jour.

Cela dit, le PFPDT a clairement indiqué que les transferts de données vers les États-Unis posent des problèmes structurels non résolus, et que tout outil impliquant un tel transfert doit être entouré de garanties solides. Google Analytics, en tant qu'outil de mesure d'audience qui transmet des données comportementales vers des serveurs Google aux États-Unis, entre directement dans cette catégorie.

La version actuelle, Google Analytics 4 (GA4), apporte des améliorations notables par rapport à l'ancienne Universal Analytics (UA) :

• L'anonymisation IP est activée par défaut — l'adresse IP complète n'est plus transmise à Google
• Le modèle de données est basé sur des événements plutôt que des sessions, ce qui réduit certains types de profilage comportemental
• Des options de réduction de la conservation des données sont disponibles (minimum 2 mois)
• Google a introduit des modes de consentement (Google Consent Mode v2) permettant de modéliser le comportement des utilisateurs sans cookies lorsque le consentement est refusé

Ces améliorations vont dans le bon sens, mais elles ne résolvent pas à elles seules le problème central : le transfert de données personnelles vers les États-Unis et les conditions strictes qui l'encadrent sous la nLPD.

Le problème des transferts de données vers les États-Unis

C'est là que réside la principale difficulté juridique. La nLPD, à l'instar du RGPD, encadre strictement les transferts de données personnelles vers des pays tiers. Elle exige que le pays destinataire offre un niveau de protection adéquat — ou que des garanties appropriées soient mises en place.

Depuis le 15 septembre 2024, la Suisse reconnaît un niveau de protection adéquat pour les organisations américaines certifiées sous le Swiss-U.S. Data Privacy Framework (DPF). Cela signifie que les transferts vers des destinataires certifiés DPF ne nécessitent plus de garanties supplémentaires. Toutefois, les États-Unis ne bénéficient pas d'une décision d'adéquation générale : les transferts vers des entités américaines non certifiées DPF restent soumis aux exigences habituelles de la nLPD.

Le PFPDT a souligné dans son rapport sur les services cloud que les lois de surveillance américaines (notamment le CLOUD Act et le Foreign Intelligence Surveillance Act) continuent de permettre aux autorités américaines d'accéder aux données hébergées par des entreprises américaines. Pour les destinataires certifiés DPF, le cadre juridique prévoit des recours et des limitations d'accès jugés suffisants par la Suisse.

Pour les transferts vers des destinataires non certifiés DPF, les entreprises doivent s'appuyer sur des Clauses Contractuelles Types (CCT), soit les clauses de l'Union européenne adoptées par analogie, soit les clauses spécifiques publiées par le PFPDT. Google propose un accord de traitement des données (DPA) incluant des CCT, ce qui peut suffire pour les entités certifiées DPF. Pour les destinataires non certifiés, des garanties supplémentaires restent nécessaires au-delà des CCT seules.

Utiliser GA4 légalement en Suisse : les conditions cumulatives

Si vous souhaitez conserver Google Analytics tout en vous conformant à la nLPD, voici les conditions qui doivent toutes être remplies simultanément :

1. Bannière de consentement préalable et explicite

Le script Google Analytics doit être bloqué au chargement de la page et n'être activé qu'après obtention d'un consentement explicite de l'utilisateur. Cela implique :

• Un bouton "Accepter" et un bouton "Refuser" d'importance visuelle égale
• Pas de cases pré-cochées, pas de scroll ou de navigation interprétée comme consentement
• La possibilité de retirer son consentement à tout moment aussi facilement qu'on l'a donné

<!-- Script bloqué jusqu'au consentement -->
<script type="text/plain" data-category="analytics"
  src="https://www.googletagmanager.com/gtag/js?id=G-XXXXXXXXXX">
</script>

2. Mention explicite dans la politique de confidentialité

Votre politique de confidentialité doit mentionner explicitement :

• L'utilisation de Google Analytics 4
• La nature des données collectées (identifiants de navigateur, comportement de navigation, données d'événements)
• Le transfert vers les États-Unis et les garanties associées (DPA + CCT avec Google)
• La durée de conservation configurée dans GA4
• Le droit de l'utilisateur à s'y opposer

3. Accord de traitement des données avec Google

Vous devez avoir signé (accepté) le Data Processing Agreement de Google dans les paramètres de votre compte Google Analytics. Cet accord inclut les CCT et définit les obligations de Google en tant que sous-traitant.

4. Anonymisation IP

Bien qu'activée par défaut dans GA4, vérifiez que vous n'avez pas réactivé la collecte d'IP complète via une configuration personnalisée. Dans GA4, la propriété "IP anonymization" est désormais non désactivable — c'est une amélioration structurelle.

5. Conservation des données réduite au minimum

Dans les paramètres de votre propriété GA4, configurez la conservation des données utilisateur sur 2 mois (minimum disponible). Plus la durée de conservation est courte, plus le risque de profilage prolongé est faible.

6. Désactivation des signaux Google et du partage de données

Dans les paramètres de votre propriété GA4 :

• Désactivez les Google Signals (ils permettent à Google de croiser vos données avec celles d'autres services Google)
• Désactivez le partage de données avec Google pour "l'amélioration des produits" et les "benchmarks"
• Désactivez la fonctionnalité de remarketing

Le tracking côté serveur : une piste de conformité avancée

Le tracking côté serveur (server-side tracking) est une approche qui consiste à envoyer les événements Analytics non pas directement depuis le navigateur du visiteur vers les serveurs Google, mais via un serveur intermédiaire que vous contrôlez.

Concrètement : au lieu que le navigateur envoie des données à analytics.google.com, votre site envoie les événements à votre propre serveur (hébergé en Suisse ou dans l'UE), qui les transmet ensuite à Google — en filtrant ou pseudonymisant les données au passage.

Avantages pour la conformité :

• L'adresse IP du visiteur n'est jamais transmise à Google — votre serveur intermédiaire envoie sa propre IP
• Vous pouvez filtrer les données sensibles avant qu'elles atteignent Google
• Vous gardez le contrôle sur ce qui est transmis et à quel moment
• Cela réduit (sans l'éliminer) l'exposition aux risques liés au droit américain

Limites : Le tracking côté serveur est une solution technique avancée qui nécessite une infrastructure dédiée (Google Tag Manager côté serveur, ou équivalent). Il ne résout pas complètement le problème du transfert de données vers les États-Unis, mais il en réduit significativement le périmètre.

Alternatives conformes à GA4

La question que se posent de nombreuses PME suisses : existe-t-il des solutions d'analytics qui évitent d'emblée ces complications ? Oui — et certaines sont même hébergées en Suisse.

Matomo auto-hébergé

Matomo est la solution la plus complète pour les équipes qui souhaitent une alternative fonctionnellement équivalente à GA4. Hébergé sur vos propres serveurs (ou chez un hébergeur suisse comme Infomaniak), il ne transfère aucune donnée vers des tiers. Configuré correctement (anonymisation IP, pas de cookies cross-site), il peut être utilisé sans bannière de consentement, ce qui est un avantage opérationnel considérable. Il offre des fonctionnalités avancées : entonnoirs de conversion, suivi e-commerce, cartes de chaleur, enregistrements de sessions.

Friendly Analytics

Friendly Analytics est une solution suisse hébergée chez Infomaniak, développée spécifiquement pour la conformité avec les lois de protection des données européennes et suisses. Il ne dépose pas de cookies et ne collecte pas d'adresses IP complètes. C'est probablement la solution la plus simple à mettre en conformité pour une PME suisse : pas de transfert transfrontalier problématique, pas de bannière de consentement requise pour les données analytics.

Plausible

Plausible est une solution open-source légère hébergée dans l'Union européenne. Elle n'utilise pas de cookies et ne collecte pas de données personnelles identifiantes. Son tableau de bord est volontairement simplifié, ce qui convient parfaitement aux besoins de la majorité des PME. Plausible est conforme au RGPD et compatible avec la nLPD sans nécessiter de bannière de consentement. À noter toutefois que l'hébergement dans l'UE implique un transfert transfrontalier au sens de la nLPD — risque moindre qu'un transfert vers les États-Unis, mais pas équivalent à un hébergement en Suisse.

Fathom

Fathom est une autre solution sans cookies, orientée confidentialité. Elle est particulièrement appréciée pour sa simplicité d'intégration et sa conformité affichée avec de nombreuses législations sur la protection des données, dont le RGPD. Fathom traite les données au Canada et dans l'UE — pas en Suisse — ce qui implique un transfert transfrontalier au sens de la nLPD. Pour les organisations où la résidence des données en Suisse est une exigence stricte, une solution hébergée en Suisse reste préférable.

Quand faut-il impérativement abandonner Google Analytics ?

Certaines situations rendent l'utilisation de Google Analytics particulièrement problématique, voire difficilement défendable :

• Votre site traite des données de santé, financières ou judiciaires — le croisement de données comportementales avec ces catégories sensibles amplifie considérablement les risques
• Votre public cible inclut des mineurs — les règles de consentement sont encore plus strictes
• Vous ne pouvez pas implémenter une bannière de consentement conforme — par exemple sur une intranet, une application métier ou un service public
• Vous êtes soumis à des exigences sectorielles spécifiques — secteur médical, financier ou administrations publiques cantonales/fédérales
• Votre taux de refus est très élevé — si 60 à 80 % de vos visiteurs refusent le consentement (ce qui est courant avec une bannière conforme), vos données Analytics sont de toute façon trop incomplètes pour être exploitables

Dans tous ces cas, migrer vers une solution sans cookies hébergée en Suisse est la décision la plus pragmatique — elle élimine entièrement les obligations liées aux transferts transfrontaliers. Les alternatives hébergées dans l'UE réduisent significativement le risque par rapport aux outils américains, mais impliquent toujours un transfert au sens de la nLPD. Dans les deux cas, abandonner GA4 simplifie votre conformité et vous donne des données fiables sur 100 % de vos visiteurs.

Avant de décider comment gérer vos outils d'analytics, commencez par savoir exactement quels traceurs sont actifs sur votre site aujourd'hui. PrivaScan analyse votre site gratuitement, détecte tous les scripts tiers et cookies, et vous indique ce qui nécessite un consentement sous la nLPD.

Lancer le scan gratuit